この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
はじめに
こんにちは、中山です。
米国時間2016年8月26日にAmazon InspectorがWindowsサーバに対してGAになりました。GAとなったWindowsサーバの種類は以下の3つです。
- 2008 R2
- 2012
- 2012 R2
Amazon Inspectorの対応状況
改めてAmazon Inspectorの対応状況を整理しておきます。現時点では以下のリージョン、OSで利用可能です。以下のドキュメントから引用しています。
リージョン | コード |
---|---|
US West (Oregon) | us-west-2 |
US East (N. Virginia) | us-west-1 |
EU (Ireland) | eu-west-1 |
Asia Pacific (Seoul) | ap-northeast-2 |
Asia Pacific (Mumbai) | ap-south-1 |
Asia Pacific (Tokyo) | ap-northeast-1 |
Asia Pacific (Sydney) | ap-southeast-1 |
| OSまたはディストリビューション | バージョン | |--------------------------------|------------------------------| | Amazon Linux | 2015.03 or later | | Ubuntu | 14.04 LTS | | Red Hat Enterprise Linux | 7.2 | | CentOS | 7.2 | | Windows Server | 2008 R2 2012 2012 R2 |
また、Linuxのみカーネルのバージョンによって対応状況が異なります。サポートしているカーネルの一覧はこちらのJSONファイルを参照してください。Windowsはカーネルによる違いはないようです。
ルールパッケージの対応状況
現時点でのWindowsサーバに対するルールパッケージの対応状況は以下のとおりです。
ルールパッケージ名 | Windowsの対応状況 |
---|---|
CVE | 対応済み |
CIS | 対応済み |
Security Best Practices | 未対応 |
Runtime Behavior Analysis | 一部のみ対応 |
今回のアップデートで対応したと思われますが、以前(2016年6月頃)対応していなかったCISに対応しています。対応したルールは以下のとおりです。こちらのドキュメントより引用します。
- Windows Server 2012 R2 (CIS Benchmark for Microsoft Windows Server 2012 R2, v2.2.0, Level 1 Member Server Profile)
- Windows Server 2012 R2 (CIS Benchmark for Microsoft Windows Server 2012 R2, v2.2.0, Level 1 Domain Controller Profile)
- Windows Server 2012 (CIS Benchmark for Microsoft Windows Server 2012 R2, v2.2.0, Level 1 Member Server Profile)
- Windows Server 2012 (CIS Benchmark for Microsoft Windows Server 2012 R2, v2.2.0, Level 1 Domain Controller Profile)
- Windows Server 2008 (CIS Benchmark for Microsoft Windows Server 2012 R2, v2.2.0, Level 1 Member Server Profile)
- Windows Server 2008 (CIS Benchmark for Microsoft Windows Server 2012 R2, v2.2.0, Level 1 Domain Controller Profile)
分析結果
今回は2012 R2日本語版(東京リージョンでは ami-0f19db6e
)に対してInspectorを実行してみました。設定方法は以下のエントリそのままです。
現時点でInspectorから提供されている以下の全てのルールパッケージを適用させてみました。
- CIS Operating System Security Configuration Benchmarks-1.0
- Common Vulnerabilities and Exposures-1.1
- Security Best Practices-1.0
- Runtime Behavior Analysis-1.0
結果は以下のとおりです。CISに対応していることが確認できます(長過ぎるので省略してます)。
"High","Instance i-d5c4da5a is not compliant with rule 2.2.38 L1 Ensure Shut down the system is set to Administrators, 2.2.0 CIS Microsoft Windows Server 2012 R2 Benchmark.
エージェントのステータス
最後に AWSAgentStatus.exe
の実行結果を貼っておきます。エージェントのバージョンが 1.0.0.47
になっていることが確認できます。
PS C:\Program Files\Amazon Web Services\AWS Agent> .\AWSAgentStatus.exe
Configuration file path : C:\ProgramData\Amazon Web Services\AWS Agent\agent.cfg
Configuration status :
Agent version : 1.0.0.47
System release : Windows Server 2012 R2 x64 - 6.2.9200
Daemon : true
Max queue size : 31457280
Log File :
Msgs log max size : 33554432
CodeModules : true
InstanceMetaData : true
PackageInfo : true
NetworkInterfaces : true
Groups : true
Users : true
Terminals : true
ConfigurationInfo : true
GlobalFile:/etc/bash.bashrc
GlobalFile:/etc/bashrc
GlobalFile:/etc/login.defs
GlobalFile:/etc/pam.conf
GlobalFile:/etc/pam.d/*
GlobalFile:/etc/profile
GlobalFile:/etc/samba/smb.conf
GlobalFile:/etc/ssh/sshd_config
GlobalFile:/etc/sysctl.conf
PerUserFile:.bash_login
PerUserFile:.bash_profile
PerUserFile:.bashrc
Permissions : true
GlobalDir:/bin
GlobalDir:/etc
GlobalDir:/lib
GlobalDir:/lib64
GlobalDir:/root
GlobalDir:/sbin
GlobalDir:/usr/bin
GlobalDir:/usr/lib
GlobalDir:/usr/lib64
GlobalDir:/usr/local/bin
GlobalDir:/usr/local/lib
GlobalDir:/usr/local/lib64
GlobalDir:/usr/local/sbin
GlobalDir:/usr/sbin
KernelModules : true
Oval : true
PasswordPolicy : false
System performance : true
System performance update frequency : 1
System performance send frequency : 30
Process performance : true
Process performance update frequency : 1
Process performance send frequency : 30
Kernel module status : 0
Network connections : true
Listening ports : true
Code modules : true
Processes : true
Publisher type : Service
Registered : true
Endpoint :
Instance-Id : i-d5c4da5a
Region : ap-northeast-1
IpAddress : 172.16.1.229
MacAddress : 0a:0e:c3:03:71:ad
IpAddress : fe80::284f:589b:f0fd:294a
MacAddress : 0a:0e:c3:03:71:ad
IpAddress : fe80::5efe:172.16.1.229
MacAddress : 00:00:00:00:00:00
IpAddress : 127.0.0.1
MacAddress : 00:00:00:00:00:00
IpAddress : ::1
MacAddress : 00:00:00:00:00:00
IpAddress : 2001:0:5ef5:79fd:38af:3fac:53ef:fe1a
MacAddress : 00:00:00:00:00:00
IpAddress : fe80::38af:3fac:53ef:fe1a
MacAddress : 00:00:00:00:00:00
Total events published : 3083
Events published in last call : 16
AgentId : i-d5c4da5a
Collecting : true
Last registration attempt date : Sat 2016-08-27 04:06:46 協定世界時
Last registration date : Sat 2016-08-27 04:06:46 協定世界時
Last config retrieval attempt date : Sat 2016-08-27 04:30:06 協定世界時
Last config retrieval date : Sat 2016-08-27 04:30:06 協定世界時
Last event publishing attempt date : Sat 2016-08-27 04:30:09 協定世界時
Last event publishing date : Sat 2016-08-27 04:30:10 協定世界時
PS C:\Program Files\Amazon Web Services\AWS Agent>
まとめ
いかがだったでしょうか。
Windowsサーバをご利用されている方々にとっては朗報ですね。これを機会にご利用をご検討されてみるとよいのではないでしょうか。
本エントリがみなさんの参考になったら幸いに思います。